Im Jahr 2020 nutzten russischsprachige Hacker-Gruppen gefälschte Kurier- und Marktplatz-Webseiten, um umgerechnet mehr als fünf Millionen Euro von Bürgern Europas, der USA und der GUS zu ergaunern, erklärt Group-IB, ein Unternehmen zur Verhinderung von Cyberangriffen.
Das Programm selbst wurde „Mamont“ genannt (russisch für „Mammut“ - Hacker-Slang für „Opfer“). Nachdem es im Sommer 2019 erstmals in Russland aufgetaucht war, wurde es ab Frühjahr 2020 in Zusammenhang mit der Coronavirus-Pandemie, der Umstellung auf Homeoffice und der steigenden Nachfrage nach Online-Diensten auch in anderen Ländern eingesetzt, erklärt Group-IB.
Das Schema funktioniert wie folgt: Cyberkriminelle nutzen beliebte kostenlose Werbedienste, um Clickbaits (Köder) zu platzieren. Kameras, Spielekonsolen, Laptops, Smartphones und andere begehrte Waren werden zu besonders niedrigen Preisen angeboten. Der hoffnungsvolle Käufer kontaktiert den vermeintlichen Verkäufer, der über eine Messenger-App sicherstellt, dass der „Verkauf“ außerhalb der offiziellen Plattform erfolgt.
Sobald dort eine Kommunikation hergestellt ist, stellt das Opfer Kontaktinformationen für die Lieferung der Waren über einen Kurierdienst wie DHL, FedEx oder CDEK bereit. Danach erhält man einen Link zur angeblichen Webseite des Kurierdienstes und eine Zahlungsaufforderung. Tatsächlich wird der Benutzer jedoch auf eine gefälschte Seite weitergeleitet, auf der er seine Kartendaten eingibt, die dann zweckentfremdet werden. Manchmal bieten die Cyberkriminellen an, die belasteten Gelder auf einer anderen Seite mit einem gefälschten Rückgabeantragsformular zurückzugeben. Dies führt nur dazu, dass noch einmal derselbe Betrag vom Konto des Opfers abgebucht wird.
Die Onlinekriminellen haben diese Methode in den folgenden Ländern angewendet:
- USA,
- Frankreich,
- Polen,
- Tschechische Republik,
- Bulgarien,
- Ukraine,
- Usbekistan,
- Kirgisistan,
- Kasachstan.
Die Betrüger fälschen aktiv die Webseiten beliebter internationaler Kleinanzeigenportale und Marktplätze, darunter „Leboncoin“ (Frankreich), „Allegro“ (Polen) und „Sbazar“ (Tschechische Republik). Die Analyse von Group-IB zeigt, dass sie auch FedEx und DHL Express in den USA und Bulgarien sowie CDEK in Kasachstan und den USA für ihre Machenschaften missbrauchen.
Viele Cyberkriminelle erstellen gefälschte Seiten über spezielle Gruppen in Telegram, wo sie einen Link zu einem Köderprodukt in einen Chatbot einfügen und der Bot selbst Phishing-Seiten für Kurierdienste, Zahlungen und Warenrücksendungen erstellt.
Bots können gefälschte Seiten erstellen, um beliebte Marktplätze, Mietangebote oder Buchmacherseiten nachzuahmen, die dann in ähnlichen Schemata verwendet werden. Solche Chatbots bieten auch Links zu „Geschäften“, in denen Benutzer Konten für Marktplätze, E-Wallets usw. erstellen oder bei Bedarf sogar einen Anwalt beauftragen können.
Für den Kauf von Waren gibt es ein analoges Schema, sagt Group-IB. Die Betrüger suchen zunächst auf einer Anzeigenseite nach einem echten Verkäufer. Nachdem sie den Verkauf in einer Messenger-App arrangiert haben, bitten sie den Verkäufer, die Kontodaten zu senden, um die Zahlung veranlassen zu können. Diese Daten werden dann für kriminelle Zwecke verwendet.
„Derzeit setzen noch Sprachbarrieren und Beschränkungen bei der Auszahlung von Geldern im Ausland dem Betrug Grenzen“, erklärt Andrei Busargin, stellvertretender CEO für digitalen Risikoschutz bei Group-IB. „Sobald diese Hindernisse überwunden sind, können wir im Westen mit einem Boom betrügerischer Internetaktivitäten rechnen. Der Nachteil für Betrüger ist die Konkurrenz, die dies untereinander schafft. Es kommt vor, dass sich die Kriminellen unwissentlich gegenseitig betrügen.“